IT-policyer i organisationer:

Transkript

1 Institutionen för informatik IT-policyer i organisationer: En fallstudie av anställdas informationsäkerhetsmedvetande Kandidatuppsats 15 HP, INFK11, VT16 Författare: Henrik Greco, Jesper Östling, Handledare: Umberto Fiaccadori Examinator: Markus Lahtinen Anders Svensson

2 En fallstudie av anställdas informationsäkerhetsmedvetande Författare: Henrik Greco och Jesper Östling Utgivare: Institutionen för informatik, Ekonomihögskolan, Lund Universitet Dokumenttyp: Kandidatuppsats Antal sidor: 67 Nyckelord: Informationssäkerhet, Informationssäkerhetspolicy, ISA, Efterlevnad och Medvetenhet, TPB och RCT. Sammanfattning Informationssäkerhet blir allt mer aktuellt inom företagsvärlden. Information anses vara en organisations största tillgång och organisationer utsätts ständigt för inre och yttre hot. Traditionellt har man sett detta som ett tekniskt problem med tekniska lösningar, men det största hotet är de anställda som genom illvilja, omedvetet slarv eller brist på kunskap inte beter sig säkert. Detta hanteras genom att ta fram och etablera policyer kring säkerhetsarbetet, men det är utbrett att organisationer brister i att etablera dessa bland anställda, vilket kan motverkas genom utbildning. Författarna har genom en kvalitativ enkätundersökning undersökt anställda inom fyra företag för att analysera deras medvetande och agerande kring säkerhetspolicyer och jämfört resultatet med tidigare forskning. Undersökningen kom fram till att medvetenheten var högre än väntat och att de anställda som ansåg sig känna till policyer följde dessa. Det framgick att människor kan ha grundläggande kunskaper om säkerhet i tekniska hjälpmedel även om de inte är utbildade av arbetsgivaren, men de applicerar detta i högre utsträckning i privatlivet än i organisationen. I resultatet syns en koppling mellan utbildning, medvetande och efterlevnad kring policyer och att de med högre utbildning tog konsekvenser för arbetsgivaren i beaktning i större utsträckning än de med lägre utbildning. I

3 Innehåll Förkortningar... IV Figurer... V Tabeller... V 1. Inledning Bakgrund Problemområde Frågeställning Syfte Avgränsningar Teori Vad är informationssäkerhet? Vad är informationssäkerhetspolicyer? Den mänskliga faktorn ISA (Information Security Awareness) ISP Awareness (Information Security Policy Awareness) Informationssäkerhetsträning Awareness programs Beteendeteorier The theory of planned behavior (TPB) The rational choice theory (RCT) Sammanfattning av teorin Metod Metodval Val av fallföretag Urval Utformning av enkätfrågor Analys av enkäter Undersökningskvalitet Validitet Reliabilitet Etik Metodreflektion Empiri ISA & ISP II

4 4.1.1 Hög ISA Låg ISA Utbildning Beteende Diskussion ISA & ISP Utbildning Beteende Slutsats och förslag på vidare forskning Slutsats Förslag på vidare forskning Referenser Bilaga 1 - Enkätformulär Bilaga 2 Checklista enkätfrågor Bilaga 3 Transkribering av enkäter III

5 Förkortningar ISA Information Security Awareness ISP Information Security Policy ISP Awareness Information Security Policy Awareness TPB Theory of Planned Behavior RCT Rational Choice Theory IV

6 Figurer Figur 1, Informationssäkerhetenstriangeln, (Nayak & Rao, 2014) s.8 Figur 2, ISA enligt Hellqvist et. al. (2013) s.12 Figur 3. Awareness programs effektivitet (Knapp & Ferrante, 2012) s.14 Figur 4. Sammanslagning av beteendeteorier (Aruigemma & Panko, 2012) s.16 Figur 5. TPB (Aurigemma & Panko, 2012) s.17 Tabeller Tabell 1: Teorisammanställning s.19 Tabell 2: Företag s.23 Tabell 3: Uppdelning av svarande mellan låg och hög ISA s.28 Tabell 4: Kännedom om informationssäkerhetspolicyer existerade på arbetsplatsen s.29 Tabell 5: Om företaget gjort något för de anställdas ska bli medvetna om Policyer s.32 Tabell 6: Om företagen gjort något för att de anställda ska följa policyer s.32 Tabell 7: Svarande som tänker på hot kring tekniska hjälpmedel i privatlivet respektive arbetsplatsen s.33 Tabell 8: Varför anställda väljer att inte följa en policy s.3 V

7 1. Inledning I detta kapitel beskrivs bakgrunden till uppsatsens ämne och en mer specifik beskrivning av problemområdet ges. Detta mynnar ut i uppsatsens frågeställning och vad syftet med att besvara denna är. Slutligen beskrivs de avgränsningar som gjorts runt frågeställningen. 1.1 Bakgrund Informationssystem har länge använts av organisationer och utgör idag en väsentlig del av deras verksamhet. Enligt många kan information ses som en organisations största tillgång och till och med organisationens ryggrad (Häussinger, 2015). Med användning av informationssystem tillkommer risker kring hot som kan orsaka stora skador och dessa risker är idag en av de största utmaningarna en organisation står inför (Bulgurcu et al. 2010). Arbetsområdet med att minska dessa risker och skydda sig från utomstående hot kallas för informationssäkerhet. När internet blev allmängods uppstod stora säkerhetsluckor eftersom tekniken var skapad för slutna nätverk, vilket motarbetades med tekniska lösningar som antivirusprogram, brandväggar och kryptering (De Leeuw & Bergstra, 2007). På senare år har det uppmärksammats att det inte räcker med tekniska lösningar på säkerhetsproblem eftersom människor har visats utgör den största risken (Sherif, Furnell, & Clarke, 2015). Idag ligger stort fokus akademiskt på att komma till rätta med dessa problem, men företagsvärlden ligger fortfarande efter och fokuserar på tekniska aspekter av säkerhet. I de fall som policyer och strategier runt det mänskliga beteendet tagits fram är det sällan de förankras i organisationen, vilket leder till liten eller ingen förändring bland personalen (Safa, Von Solms, & Furnell, 2016; Chen, Wen, & Ramamurthy, 2012). Organisationer ser fortfarande informationssäkerhet som ett tekniskt problem som ägs av en IT-avdelning, när det egentligen borde vara ett problem som genomsyrar hela organisationen i en mer holistisk anda (LeVeque, 2006). Detta hänger också ihop med det faktum att det är den mänskliga faktorn som utgör den största risken och att det därför är viktigt att inkludera alla anställda i säkerhetsarbetet (Sherif, Furnell, & Clarke, 2015). Organisationer kan åtgärda många yttre hot med antivirusprogram och brandväggar, men dessa löser inte problemet med naiva eller fientligt inställt anställda (Waly, 2013). Det är alltså den mänskliga faktorn som anses vara den absolut viktigaste delen och den största svagheten i informationssäkerhet (Häussinger, 2015; Safa, Von Solms, & Furnell, 2016; Bulgurcu et al. 2010; Tariq, Brynielsson, & Artman, 2014). Det finns många olika åtgärder för att uppnå och upprätthålla ett effektivt arbete med informationssäkerhet; Allt från teknologiska lösningar till arbete med anställdas medvetenhet om befintliga risker tas upp, men den mest avgörande åtgärden som tas upp är arbetet med informationssäkerhetspolicy (Hädanefter ISP) (Höne & Eloff, 2002). Trots detta känner de flesta anställa inte till sin organisations policyer och strategier kring informationssäkerhet och det dagliga arbetet kring dessa (Von Solms & Von

8 Solms, 2004). I figur 2 nedan ser man hur olika delar tillsammans utgör informationssäkerhet. Figur 1, Informationssäkerhetenstriangeln, (Nayak & Rao, 2014, s. 43). Som figuren visar handlar informationssäkerhet om teknik, organisation och den mänskliga faktorn, men fokus ligger alltså oproportionerligt mycket på tekniken. Denna uppsats ämnar undersöka ämnet på typiska arbetsplatser och har fokuserat på företag inom Hospitality (hotell, vandrarhem) och detaljhandeln. Dessa båda branscher har som praxis att använda informationssystem. I båda branscherna finns arbetssätt som kan vara talande för många arbetssituationer inom fler branscher när det gäller informationshantering, som hanterande av kundinformation och statistik. 1.2 Problemområde Informationssäkerhet är inte ett nytt ämne inom företagsvärlden, men det innebär ett kostsamt och tidskrävande arbete vilket leder till att många företag ändå ligger efter (Gollman, 2011). Det är också många företag som skapar policyer och strategier runt sitt arbete med informationssäkerhet, för att sedan lägga dessa åt sidan utan att införliva dem i organisationens arbete, eller se till att de som jobbar i organisationen har kännedom om dessa (Chen, Wen, & Ramamurthy, 2012). Det de inte inser är att hotbilden förändras med tiden och att det inte går att bara släcka bränder som startar utan att organisationer också måste vara pro-aktiva och jobba för att undgå hot redan innan de uppstår (Gollman, 2011). Ett centralt hot mot informationssäkerhet är slarviga anställda som inte följer ISP (Siponen et al. 2014). Tidigare litteratur påvisar också att användares ovilja att följa informationssäkerhetspolicy ofta ses som ett av de mest centrala problemen inom informationssäkerhet för organisationer (Puhakainen & Siponen, 2010). Att anställda bryter mot informationssäkerhetspolicy kan ofta härledas till deras ignorans eller okunskap om dessa och uppskattningsvis sker mer än hälften av alla säkerhetsöverträdelser inom informationssystem på grund av att de anställda inte följer ISP (Siponen & Vance, 2010). 2

9 1.3 Frågeställning I vilken omfattning efterlevs IT-policyer avseende anställdas informationssäkerhetmedvetande inom en organisation? 1.4 Syfte Syftet med uppsatsen är att undersöka i vilken omfattning slutanvändare av IS-system är medvetna om och efterlever IT-policyer inom informationssäkerhet. Denna uppsats ämnar göra detta genom att genomföra en kvalitativ enkätundersökning med användare av informationssystem hos organisationer, för att sedan jämföra resultaten med den befintliga litteraturen på det aktuella området. I samband med denna jämförelse hoppas författarna se om teorierna kring mänskligt beteende och efterlevnad av IT-säkerhetspolicys är applicerbara på de undersökta företagen. 1.5 Avgränsningar Uppsatsen undersöker enbart policyer gällande IT-säkerhet och inte IT i allmänhet. En ytterligare avgränsning är att den bara behandlar information i tekniska hjälpmedel och inte manuell informationshantering (Pärmar, Whiteboards etc.), eftersom ämnet för uppsatsen är informatik där informationssystem har en ledande roll och mer och mer ersätter manuellt hanterande av data. I de fall policyer gått att ta del av har detta gjorts, men enbart för att hjälpa till vid utformning av enkäten då studien inte undersöker själva policyerna i sig. De som tillfrågats är anställda "på golvet" som inte är i någon chefsposition, eftersom chefer bör vara väl insatta i arbetet kring it-policyer och det som undersöks är de anställdas attityder och om de efterföljer policyer. Av den anledningen har inte heller chefer ansetts kunna tillföra någonting till denna uppsats då det som undersöks inte är efterlevnad i relation till vad företaget ansett sig utföra för aktiviteter. 3

10 2. Teori I detta kapitel presenteras befintlig litteratur som är relevant inom området för uppsatsens syfte och frågeställning. Det som beskrivs är det som oftast dykt upp under förstudierna till uppsatsen. De olika områdena är uppdelade i underkapitel för att läsaren lätt ska kunna bilda sig en uppfattning om varför de är relevanta. I slutet på kapitlet återfinns en sammanfattning och en sortering av författarna samt vilket område i teorin de tillhör. 2.1 Vad är informationssäkerhet? Informationssäkerhet handlar om att skydda en organisations information, vilken kan ses som dess största tillgång och basen till dess verksamhet (Häussinger, 2015), från att missbrukas, delas med obehöriga eller bli stulen, vilket kallas för informationsläckor. Informationssäkerhet kan ses som en triangel vars tre sidor består av människor, teknologi och organisation (Tariq, Brynielsson, & Artman, 2014). Det handlar om teknisk infrastruktur, organisation, anställda och andra komponenter som samlar och behandlar information (till exempel datorer), samt hur system har blivit inskränkta för att skydda informationen genom till exempel kryptering och behörighetskrav (De Leeuw & Bergstra, 2007). Det var det amerikanska försvarsdepartementet som först, i en rapport publicerad 1970, kom fram till att säkerhet i informationssystem var ett problem som rörde designen av själva informationssystemet, varpå de 1973 utvecklade de första informationssäkerhetspolicyerna. TCP/IP-tekniken skapades först för stängda nätverk så som militären, varför stora säkerhetsbrister i form av till exempel virus uppstod när internet delades med allmänheten. Som följd uppstod en rad tekniska kommersiella lösningar som brandväggar och antivirusprogram. Idag ligger stort fokus på de mänskliga aspekterna av informationssäkerhet, då det är allmänt känt, åtminstone i den akademiska världen, att det är människor som är den största risken (Sherif, Furnell, & Clarke, 2015). 2.2 Vad är informationssäkerhetspolicyer? Policyer kan generaliseras som ett eller flera dokument i vilka, enligt ledningen, önskat eller förväntat beteende för de anställda inom organisationen är dokumenterat (LeVeque, 2006). Det är vanligt med policyer som till exempel beskriver regler kring hur lösenord skapas, hur de ska se ut och hur ofta de ska bytas. Hur dessa policyer sedan anammas av de anställda påverkas av deras attityd gentemot dem, positiv attityd innebär starkt lösenord och vise versa (Choong & Theofanos, 2015; Knapp & Ferrante, 2012). Vidare säger LeVeque (2006) att en bra policy ska beskriva vem som ska göra vad, samt vad anställda får och inte får göra. Likt LeVeques (2006) förklaring av en policy, förklarar Höne & Eloff (2002) att en informationssäkerhetspolicy är ett dokument i vilket riktlinjer ges för hantering av information, att det indikerar ledningens åtagande och support, samt vilken betydelse informationssäkerhet har för organisationens vision och mål. Informationssäkerhetspolicyer ska också förklara behovet av informationssäkerhet och reflektera hur 4

11 ledningen på ett säkert och kontrollerat sätt vill styra organisationen (Höne & Eloff, 2002). Informationspolicyer ger instruktioner till de anställda om vad de ska göra i olika situationer när de interagerar med informationssystemet och informationsresurser inom organisationen (Bulgurcu et al. 2010). Det är viktigt att se till att säkerhetshanteringen är konsekvent genom hela organisationen, vilket går att uppnå genom starkt ledarskap (LeVeque, 2006). Av samma anledning är det viktigt att säkerhetsansvariga känner till hur organisationens ledarskapskultur fungerar. Konsekvenserna av att information läcker från en organisation kan innefatta att kunder tappar tillit till organisationen, inkomstbortfall och lagbrott (Khan, Alghathbar & Khan, 2011). 2.3 Den mänskliga faktorn Många studier visar att organisationer i sin problemlösning runt informationssäkerhet har fokuserat på tekniska perspektiv snarare än processerna kring säkerhetshantering och tidigare forskning bekräftar att många traditionellt har sett informationssäkerhet som just ett tekniskt problem med tekniska lösningar. Eftersom det är människor som jobbar med informationssäkerheten så går det inte att se det som ett rent tekniskt problem, utan organisationer måste inse att de anställdas beteenden och attityder kring organisationen kan skada företagets verksamhet. Detta eftersom de anställda direkt påverkar hanteringen av informationssäkerhet. Därför är det viktigt att se arbetet kring informationssäkerhet som ett problem för styrningen av en organisation och inte bara som en del av IT-avdelningens arbetsuppgifter. Det bör vara någonting holistiskt som genomsyrar hela organisationen. (LeVeque, 2006) Många av svårigheterna med den mänskliga faktorn beror på att individer både har en personlig och en social identitet såväl som en som är kopplad till deras yrkesroll (Ashenden, 2008). Ashenden (2008) menar att organisationen måste arbeta med sin kultur och kommunikation mellan olika deltagare i organisationen. Vidare säger Ashenden (2008) att det ligger en stor utmaning i att hantera människors säkerhetsarbete i en organisation eftersom samma individ reagerar olika på liknande situationer och därför är oförutsägbar. Den vanligaste anledningen till användarmisstag är brist på kunskap om informationssäkerhet, ignorans, oaktsamhet, apati, ont uppsåt och motstånd (Safa, Von Solms, & Furnell, 2016). Detta innebär att även personer med gott uppsåt kan vara en reell säkerhetsrisk, genom att till exempel dela med sig av inloggningsuppgifter till kollegor eller skriva upp dem på klisterlappar som sätts på datorn, öppna länkar i e- mail från osäkra avsändare, ladda ner program till jobbdatorn från tveksamma källor, fortsätta att vara inloggad i systemet när det lämnas för till exempel toalettbesök och så vidare (Safa, Von Solms, & Furnell, 2016). Även kunskapsbrist eller ovilja att använda tekniska säkerhetslösningar på ett korrekt sätt är en stor del av problematiken med den mänskliga faktorn i informationssäkerhet (Kauer et al. 2013). Den kanske viktigaste aspekten i mänsklig informationssäkerhet är ISA (information security awareness, eller informationssäkerhetsmedvetenhet) vilken kan uppnås genom bland annat informationsdelning (Safa, Von Solms, & Furnell, 2016; Tariq, Brynielsson, & Artman, 2014). 5

12 2.4 ISA (Information Security Awareness) Security Awareness används i flertalet forskningsområden och handlar om hur medvetna vi är angående risker i vår närmiljö (Hellqvist et al. 2013; Siponen, 2000). ISA behandlar denna medvetenhet men ur perspektivet informationssäkerhet bland deltagarna i en organisation, där anställda följer regler som finns, förstår potentialen i dessa, samt förstår vikten av ansvarsområden och att de agerar i enlighet med detta (Ahlan, Lubis, & Lubis, 2015). Att det sker så många säkerhetsincidenter som beror på den mänskliga faktorn innebär att det måste läggas mer uppmärksamhet på hur individer, organisationer och miljö påverkar detta, för att kunna optimera arbetet med ISA. ISA kan ses som att det vilar på tre grundvalar som ska finnas i paritet med varandra; formell, kognitiv och beteendemässig medvetenhet. Formell medvetenhet handlar om de policys och strategier som finns, kognitiv medvetenhet handlar om hur användarna förstår dessa kognitivt och beteendemässig medvetenhet om hur användarna agerar på denna medvetenhet (se figur 2). (Hellqvist et al. 2013) Figur 2. ISA enligt Hellqvist et. al. (2013, s. 6) Bulgurcu et al. (2010) definierar ISA som en anställds generella kunskap och förståelse kring informationssäkerhet och dennes medvetenhet om gällande informationssäkerhetspolicy inom organisationen ( ISP awareness ). En anställd kan ha vetskap om att lösenord är viktigt att använda men inte veta om att organisationens ISP kräver en viss utformning av lösenordet eller att det ska ändras regelbundet. Detta tyder på en generell kunskap om informationssäkerhet hos användaren men en bristande ISP awareness (Bulgurcu et al. 2010). Utan tillräcklig ISA är risken stor att säkerhetsåtgärder missuppfattas eller används på fel sätt av användarna, vilket i sin tur kan orsaka att en säkerhetsåtgärd som egentligen fungerar blir otillräcklig (Siponen, 2000). Ett ökat ISA bör leda till att användarfelen minimeras samtidigt som säkerhetsprocedurer maximeras från ett användarperspektiv (Siponen, 2000). När anställda har en hög nivå av medvetenhet förstår de risker bättre och anstränger sig mer för att se till så att organisationen är säker. Det betyder både att de skyddar organisationens intressen från utomstående hot och att risken för interna hot minskar i och med den anställdes vilja att hålla företaget säkert. På detta sätt är i hur framgångsrik en organisation är i sitt säkerhetsarbete. Trots detta har de flesta anställda i organisationer en låg nivå av ISA. (Häussinger, 2015) Det finns dock en koppling till tekniken. Bland annat har det visat sig att användare tar större risker när de vet att det finns säkerhetsprogramvara installerad på datorn (Tariq, Brynielsson, & Artman, 2014). Alltså finns det en paradox i att ju mer 6

13 medveten en person är om vad företaget vidtagit för säkerhetsåtgärder, desto större risker tycker de sig kunna ta ISP Awareness (Information Security Policy Awareness) ISP Awareness är en del av ISA men handlar specifikt om medvetenheten runt informationssäkerhetspolicyer (Hellqvist et al. 2013). Det har visat sig att när en organisation har kommunicerat sina policyer på ett adekvat sätt och på så sätt skapat en bra medvetenhet hos deltagarna i organisationen (med andra ord att formell och kognitiv medvetenhet är på en tillfredställande nivå) så har deltagarna ändå inte följt policyer. Detta tyder på att ovilja att följa befintliga policyer främst ligger i deltagarnas beteende och mer specifikt deras underliggande anledningar till att sätta sig emot att följa policyer. För att skapa en bra säkerhetskultur räcker det därför inte att skapa bra policyer och förmedla dem på ett tillräckligt sätt, utan det är nödvändigt att gå till botten med varför deltagare inte följer dem när så är fallet genom att studera deltagarnas beteenden och attityder, vilket bland annat Sang Hoon et al. har gjort (2014). En anställds medvetenhet om befintliga informationssäkerhetshot ses som generell ISA medan om en anställd vet vad denne ska göra i olika situationer tyder på ISP awareness. För att uppnå efterlevnad av ISP hos de anställda, måste de förstå vad som motiverar dem till att följa ISP. Detta är ett beteendeproblem som informationssäkerhets-management står inför. (Bulgurcu et al. 2010) 2.5 Informationssäkerhetsträning Olika former av träning har visats öka anställdas ISA och detta har i sin tur påverkat deras attityd mot informationssäkerhet och efterlevnad av ISP (Safa, Von Solms, & Furnell, 2016). Tidigare litteratur har undersökt olika tillvägagångsätt för att uppnå efterlevnad av ISP. Dessa inkluderar bland annat sanktionsbaserade metoder, som menar till att avskräcka anställda från att inte följa ISP genom olika påföljder och vanlig träning eller utbildning, vilket är ett av de vanligast föreslagna tillvägagångsätten. (Puhakainen & Siponen, 2010) Till skillnad från sanktionsbaserade metoder riktar sig träning av ISP till att övertyga anställda och aktivera dem att tänka själva inom området, för att på så sätt få dem att ta till sig och förstå vikten av att följa säkerhetspolicyer. Samtidigt som det har visat sig att sanktionsbaserade tillvägagångsätt har minskat säkerhetsöverträdelser och ökat efterlevnad hos de anställda, så visar mycket forskning att kognitiv träning och utbildning kan vara än mer effektivt för att uppnå detta. (Puhakainen & Siponen, 2010) Olika träningsmoment som kan användas är kurser, formella presentationer, workshops, hemsidor och nätbaserad utbildning (Safa, Von Solms, & Furnell, 2016). Träning handlar inte bara om att skapa ett medvetande hos de anställda om rådande ISP och varför de måste följas, det innebär också att utbilda de anställda kring tekniken som behövs för att följa en viss policy och hur de ska göra för att följa den. Practitioners should strive to simplify the security procedures that employees are required to perform and provide adequate training to their employees so employees will not perceive the requirements and procedures specified by the ISP as burdensome. (Bulgurcu et al. 2010, s. 542) 7

14 Vidare säger Bulgurcu et al. (2010) att en anställds uppfattning om sin förmåga att genomföra en uppgift, i detta fall att följa ISP, positivt påverkar dennes avsikt att efterleva ISP och att det därför är mycket viktigt att en organisation tränar sina anställda så att de vet vad som måste göras för att följa de befintliga informationssäkerhetspolicyerna. Det är förekommande att anställda gör valet att kringgå säkerhetsåtgärder om det behövs för att kunna slutföra en viss uppgift (Ifinedo, 2012). Organisationer bör sträva efter att ha en säkerhetsmedveten kultur, vilket kan skapas genom awareness programs (se awareness programs) som ska öka ISA hos de anställda och säkerställa deras förmåga att genomföra uppgifter för att följa ISP (Bulgurcu et al. 2010). Träning för att uppnå högre efterlevnad av ISP bör involvera metoder som motiverar användarna till kognitiv bearbetning av informationen de tar till sig. Det är också viktigt att en kontinuerlig kommunikation kring ämnet etableras inom organisationen. (Puhakainen & Siponen, 2010) Awareness programs Det är viktigt för organisationer som hanterar känslig information att aktivt se till att det finns formella policyer som underhålls, uppdateras och etableras i arbetsstyrkan. Det gäller också att hålla en balans i sina policyer, eftersom en allt för sträng attityd kan påverka organisationens lönsamhet negativt och motarbeta organisationens mål, medan en allt för slapp attityd kan få allvarliga konsekvenser i och med information som äventyras (Knapp & Ferrante, 2012). Knapp & Ferrante (2012) visar med en modell, se figur 4 nedan, vad som påverkar effektiviteten av ett awareness program. Figur 3. Effektivitet av ett awareness program (Knapp & Ferrante, 2012, s.70). Studier har visat att många människor inte känner till sin organisations policyer och strategier, i de fall sådana finns (Von Solms & Von Solms, 2004). Istället har det visat sig att de anställda i en organisation ofta inte är särskilt motiverade att följa säkerhetspolicyer och att de snarare följer invanda beteendemönster och rutiner utan större intresse att ändra på dessa beteenden, samt att de hittar på ursäkter för att inte följa organisationens policyer (Chen, Wen, & Ramamurthy, 2012). Awareness programs har därför blivit en stor del i att hantera den mänskliga faktorn i informationssäkerhet. Många gånger består dessa av olika standarder och riktlinjer som till exempel ENISA och NIST. Dessa hjälper organisationer att utveckla dokument eller andra material där anställda kan ta del av hur viktigt det är med 8

15 informationssäkerhet. Dessa standarder och riktlinjer brukar i första hand handla om processer och innehållet i programmet och vilket sorts beteende som önskas etableras i organisationen. De brukar däremot inte behandla huruvida den ökade kunskapen och medvetenheten faktiskt leder till ökad säkerhet. Det är också viktigt att försöka förmå de anställda att ändra sitt synsätt på upplevda risker och hur de fattar beslut kring dessa risker och att på så sätt ta i beaktande människors förmåga runt beslutsfattande (Tsohou, Karyda, & Kokolakis, 2015) Det verkar dock som att det finns ganska få bevis inom litteraturen för att så kallade awareness programs faktiskt minskar säkerhetshot bland personalen (Waly, 2013; Puhakainen & Siponen, 2010; Siponen et al. 2014) och de verkar inte heller påverka till vilken grad personalen följer säkerhetspolicyer. Det räcker inte att bara utvärdera ett sådant programs effektivitet genom att låta de som deltagit i det utvärdera det, med andra ord hur deltagarna känt direkt efteråt. De borde istället baseras på hur anställda faktiskt använder de erhållna kunskaperna i det dagliga arbetet. (Waly, 2013) Som figur 4 visar räcker det inte med att bara göra anställda medvetna om policyer, utan det måste även finnas ett policyunderhåll för att programmet ska bli effektivt. Waly (2013) säger att allting ska utvärderas och inte bara själva implementeringen ske. 2.6 Beteendeteorier Det finns flera teorier rörande beteende som passar bra när slutanvändares vilja att följa informationssäkerhetsstrategier och informationssäkerhetspolicyer undersöks. Två vanliga teorier som dyker upp i litteraturen är Theory of planned behavior (TPB) (Ifinedo, 2012; Safa et al. 2015; Siponen, 2000; Lebek et al. 2014; Bulgurcu et al. 2010) och the rational choice theory (RCT) (Bulgurcu et al. 2010; Sang Hoon, Kyung Hoon, & Sunyoung, 2014; Aurigemma & Panko, 2012), vilka även är teorier som passar bra i denna uppsats och därför kommer att användas i analys och diskussion. De har även använts tillsammans tidigare av till exempel Aruigemma & Panko (2012), Sang Hoon et al. (2014) och Bulcurcu et al. (2010). Bulgurcu et al. (2010) har även med teorier om ISA i sin studie. Figur 5 visat hur Aruigemma och Panko har sammansatt flera teorier för att skapa ett teoretiskt ramverk kring ISP-medvetenhet och efterlevnad, vars komponenter till stor del återfinns i de beteendeteorier som används för denna uppsats. 9

16 Figur 4. Sammanslagning av beteendeteorier (Aruigemma & Panko, s. 3249). I modellen ovan kan man se hur olika beteendemetoder kan användas tillsammans för att analysera människors beteende kring risk, vilket många författare till artiklar gjort på olika sätt. Komponenterna i modellen återfinns i kommande två kapitel The theory of planned behavior (TPB) Denna teori skapades först av en forskare vid namn Ajzen 1985 och har visat sig vara ett bra sätt att förklara hur människor beter sig kopplat till avsikt. Enligt denna teori går det att med hjälp av en persons attityd mot ett beteende eller en aktivitet, tillsammans med uppfattning om beteendet (socialt acceptabelt och subjektiva normer) och den uppfattning om den ansträngning som beteendet skulle medföra (upplevd beteendekontroll), förutsäga viljan att genomföra ett visst beteende. (Finke, Hickerson, & McLaughlin, 2015) TPB har använts i stor utsträckning inom olika domäner och den är vanligt förekommande vid undersökningar av individers beslut om att acceptera och följa säkerhetsåtgärder, samt följa ISP (Ifinedo, 2012). Den har visat att en anställds anledning till att följa en organisations ISP starkt påverkas av attityd, subjektiva normer och upplevd beteendekontroll (Ifinedo, 2012; Safa et al. 2015). Attityd handlar om en persons negativa eller positiva inställning till ett visst beteende, subjektiva normer beskriver en persons uppfattning om vad betydande personer till dem tycker om ett visst beteende och upplevd beteendekontroll handlar om en persons enkelhet eller svårighet att bete sig på ett visst sätt (Ifinedo, 2012; Safa et al. 2015). Figur 6 visar den klassiska TPB modellen. 10

17 Figur 5. The theory of planned behavior (Aurigemma & Panko, 2012, s. 3248). Personliga normer refererar till en anställds värderingar och syn på att efterleva en organisations ISP och tidigare litteratur har visat att detta påverkar en anställds attityd gentemot att ha ett felaktigt beteende kring informationssäkerhet (Safa, Von Solms, & Furnell, 2016). Subjektiva normer reflekterar inverkan på de anställda när det gäller närståendes åsikter angående deras beslut. Det kan till exempel, från en organisation, vara tryck på att följa ISP från ledning och arbetskollegor (Safa et al. 2015). Med hänsyn till informationssäkerhet påverkas anställdas attityd av deras förväntningar kring konsekvenserna av att följa de satta säkerhetsriktlinjerna eller policyerna. Uppfattning om beteendet inom informationssäkerhet berörs av en organisations normer eller kultur, den anställdes roll i fråga och tillkommande ansvar, samt efterlevnad av säkerhetsriktlinjer. Den sista aspekten ser till en persons uppfattning om ansträngningen ett visst beteende skulle kräva eller innebär. Detta kan hanteras genom teknisk utbildning för att öka kunskapen hos de anställda (Siponen, 2000) Bulgurcu et al. (2010) menar att en persons normativa tro, den upplevda egna effektiviteten och attityd mot efterlevnad spelar in på dennes vilja att följa ISP. Attityden hos en anställd påverkas av fördelen med att efterleva, kostnaden att efterleva och kostnaden av att inte efterleva, vilket kan förklaras med en anställds förväntning av de konsekvenser som följer av att göra något eller inte (Bulgurcu et al. 2010). En anställds attityd mot att följa ISP påverkas också av dennes åtaganden och normer (Safa, Von Solms, & Furnell, 2016; Lebek et al. 2014). Lebek et al. (2014) säger att en anställds avsikt att följa ISP beror på dennes synsätt och normativa tro till beteende gällande lydnad. Benefit of compliance is shaped by intrinsic benefit, safety of resources, and rewards, while cost of compliance is shaped by work impediment; and cost of noncompliance is shaped by intrinsic cost, vulnerability of resources, and sanctions. (Bulgurcu et al. 2010, s. 523) Bulgurcu et al. (2010) kommer fram till att ISA har en stark inverkan på anställdas attityd mot efterlevnad av informationssäkerhetspolicy och att ISA spelar en stor roll för anställdas förväntningar på konsekvenserna av en handling. 11

18 2.6.2 The rational choice theory (RCT) RCT handlar om att individer har preferenser som gör att de väljer den valmöjlighet som passar dem bäst. Det talas om rationella agenter som när de fattar sina beslut väger in sådana aspekter som tillgänglig information, troligheten att någonting ska ske och potentiella kostnader och fördelar, vilket ISA och ISA-träning påverkar. Med andra ord är rationalitet en stor grund till människans beslutsfattande. (De Jonge, 2012) Något som påverkar detta är individens egen uppfattning (Sang Hoon, Kyung Hoon, & Sunyoung, 2014) och dennes tro på hur och till vilken grad deras efterlevande av policyer får konsekvenser (Aurigemma & Panko, 2012). Enligt denna teori överväger individer olika valmöjligheter och deras olika eventuella följder (med följd menas en konsekvens av en aktiv händelse) (Bulgurcu et al. 2010). På grund av individers olika preferenser kan de tolka eventuella följder som att deras kostnad eller fördel beror på hur tillfredsställande följden blir för individen. Detta styrker att individens egna attityder påverkar dennes riskbedömning, vilket även återfinns i TPB. Trots att RCT har visat sig användbar för att förklara en individs beteende i ett visst sammanhang, är den inte utan brister. Viktigt att tänka på är att en persons syn på potentiella fördelar och kostnader påverkas av dennes egna perspektiv på saker. Det är inte allmängiltigt vad som uppfattas som en kostnad eller en fördel. Vissa individer lägger stor vikt vid materiella saker medan andra föredrar sociala, kulturella eller psykologiska intressen. En individs tillfälliga känslotillstånd kan också vara avgörande vid ett beslutstagande. (Bulgurcu et al. 2010) 2.7 Sammanfattning av teorin Teorierna som tagits upp behandlar den mänskliga aspekten kring arbetet med informationssäkerhet genom att göra de anställda medvetna om säkerhet och säkerhetsrisker för att minska dessa hot. Informationssäkerhet handlar om att genom tekniska hjälpmedel och mänskligt uppförande skydda en organisations information. Ett sätt att försöka göra så att anställda i en organisation beter sig rätt ur ett säkerhetsperspektiv är att ha uttalade och dokumenterade IT-säkerhetspolicys som förankras hos de anställda. Exempel på vanliga policyer är de runt utformandet av lösenord. Med ett starkt ledarskap går det att se till så att policyerna används konsekvent genom hela organisationen. Det är vida ansett att den största säkerhetsrisken för organisationer är den mänskliga faktorn, eller de anställda, men att organisationer trots detta traditionellt har sett och fortfarande ser informationssäkerhetsarbete som ett rent tekniskt problem. Utöver de tekniska hoten måste också de anställdas attityder och beteenden beaktas, eftersom även vänligt inställt anställda kan begå säkerhetsbrott på grund av faktorer som bristande kunskap, ignorans eller dålig attityd. Information Security Awareness, ISA, är ett utbrett begrepp som adresserar just den mänskliga faktorn inom informationssäkerhet. ISA innebär att anställda har en generell kunskap inom informationssäkerhet och en medvetenhet om rådande ISP, att dessa efterföljs och att de förstår nyttan med att de finns, eller förenklat att anställda känner till varför regler kring säkerhetsarbete finns och att de följer dem. När anställda har en hög nivå av medvetenhet förstår de risker bättre och anstränger sig mer för att se till så att organisationen är säker. 12

19 Inom ISA finns begreppet ISP awareness, som mer specifikt handlar om just medvetenheten kring policys. Det har nämligen visat sig att anställda tenderar att inte följa policys trots att de känner till dem. Därför måste de anställdas attityder och beteenden undersökas. Genom träning går det att öka de anställdas ISA och på så sätt påverka deras attityd så att de efterlever policyer i en högre grad. Litteraturen menar att träning inom ISP riktar sig till att öka de anställdas medvetenhet kring informationssäkerhet och på så vis öka deras förståelse om varför policyer finns och nyttan med att följa dem. Träningen kan vara en del av ett Awareness program, som är en övergripande strategi för hur policys ska underhållas, uppdateras och etableras i arbetsstyrkan. Det finns standarder om ENISA och NIST som hjälper organisationer att utveckla dokument eller andra material som anställda kan ta del av för att förstå vikten av informationssäkerhetshantering. Dessa dokument är dock inte bra som underlag för uppföljning för att se om arbetet faktiskt fått effekt. Kopplingar till anställdas beteende dyker upp på flera ställen i litteraturen inom områden kring ISP. Bland annat har det påvisats att anställda inte följer policyer trots att de finns och att ISA till viss del grundar sig i anställdas kognitiva medvetenhet kring säkerhetspolicyer, hur de tolkar och förstår dem och anställdas beteendemässiga medvetenhet, hur de utifrån sin förståelse av policyn väljer att agera. Vidare är det vanligt att litteraturen diskuterar de anställdas beteende när det kommer till att förstå varför de väljer att efterleva policyer eller inte. Två teorier som förekommer inom tidigare forskning och som är relevanta för uppsatsen är Theory of planned behavior (TPB) och Rational choice theory (RCT), vilka båda bottnar sig i att en persons attityd och uppfattning påverkar dennes beslut och att olika individer därför inte fattar samma beslut i samma situationer. Teorierna går att kategorisera enligt tabellen nedan. Ur detta har frågor utvecklats och det går att se i tabellen var i teorin varje fråga har sin grund. Teori Författare Intervjufrågor ISA & ISP Informationssäkerhet Kunskap Medvetenhet Säkerhetstänk Policykunskap Utbildning Awareness program Medvetande Träning Kommunikation och motivation Beteende/(Mänsklig faktor) Subjektiva normer Attityd Beteendekontroll Subjektiv rationalitet Siponen (2000), Hellqvist et al. (2013), Ahlan et al. (2015), Bulgurcu et al. (2010), Häussinger (2015), Safa et al. (2004), Von Solms & Von Solms (2004) Bulgurcu et al. (2010), Tsohou et al. (2015) Waly (2014), Knapp & Ferrante (2012), Puhakainen & Siponen (2010), Safa et al. (2016) Sherif et al. (2015), Ashenden (2008), Safa et al. (2015), Safa et al. (2016) Kauer et al. (2013), Tariq et al. (2014), Chen et al. (2012), Sang Hoon et al. (2014), Finke et al. (2015), Ifenido (2012), Aurigemma & Panko (2012), De Jonge (2012), Siponen (2000), Bulgurcu et al. (2010), Lebek et al. (2014) 1, 2, 4, 5, 6, 7, 10, 11, 15, 16, 17 4, 6, 7, 15, 16, 17 1, 2, 8, 9, 10, 11, 12, 13, 14, 17 Tabell 1: Teorisammanställning 13

20 Intervjufrågor med teorikoppling och motivering: 1. Tänker du mycket på hot när det gäller säkerhet kring tekniska hjälpmedel i ditt privatliv, och hur skyddar du dig mot dessa? (öppen fråga) Motivering: För att kontrollera säkerhetstänk och jämföra med detta privat och på jobbet, och se om arbetsgivaren påverkat säkerhetstänket eller om det redan fanns hos individen. 2. Tänker du mycket på hot när det gäller säkerhet kring tekniska hjälpmedel på din arbetsplats, och hur skyddar du dig mot dessa? (öppen fråga) Motivering: Inledande fråga för att testa nivå av ISA. 3. Borttagen på begäran av ett av företagen. 4. Känner du till begreppet IT-policy sedan tidigare? (Ja/Nej-fråga) Motivering: Inledande fråga för att testa nivå av ISP för att senare se om detta påverkar ISA. 5. Beskriv vad som för dig, kan tänkas vara en informationssäkerhetspolicy? (Öppen fråga) Motivering: Testa nivå av ISP awareness. 6. Känner du till om det finns några informationssäkerhetspolicys på din arbetsplats? (Ja/Nej-fråga) Motivering: För att testa nivå av ISA/ISP, och för att se om teorin om att det är vanligt att anställda inte känner till policyer stämmer på våra företag. 7. Om JA på fråga 6, nämn de informationspolicys som du känner till. Skriv max 5 stycken. (Öppen fråga) Motivering: För att testa nivå av ISA/ISP, och för att se om teorin om att det är vanligt att anställda inte känner till policyer stämmer på våra företag. 8. I vilken utsträckning följer du dessa policys, och varför? (Öppen fråga) Motivering: För att undersöka deltagarens attityd, och se om teorin om att även om anställda känner till policyer så följs de inte passar in. 9. Följer du vissa policys mer noggrant än andra? I så fall vilka? (Öppen fråga) Motivering: För att undersöka deltagarens attityd, och se om teorin om att även om anställda känner till policyer så följs de inte passar in. 10. Har du några egna regler som du följer när det gäller säkerhet? (Öppen fråga) Motivering: Testa attityder och ISA, och för att se om anställda utan kunskap om organisations policyer ändå har ett grundläggande säkerhetstänk. 11. Bland följande exempel på vanliga policys, finns det några som du följer i ditt arbete (även om det inte är på grund av din arbetsgivares uppmaningar)? (flervalsfråga) Motivering: Kontrollfråga för att se om även anställda som svarat att de inte känner till några policyer kanske faktiskt gör det ändå, för att det till exempel kallas något annat på just det företaget. 12. Varför följer du informationssäkerhetspolicys? (Öppen fråga) Motivering: Testa beteende och attityd. 13. Varför följer anställda inte informationssäkerhetspolicys? (Öppen fråga) Motivering: Testa beteende och attityd. 14. Vad skulle få dig att välja att inte följa en informationssäkerhetspolicy? (Öppen fråga) Motivering: Testa beteende och attityd. 14

21 15. Vad har din arbetsgivare gjort för att göra dig medveten om organisationens policys? (Exempel: delat ut häften, utbildningar, muntligt berättat) (Öppen fråga) Motivering: Se om arbetsgivaren gjort något för att förankra policyerna, vilket teorin säger att de ofta inte gör. Se om de använt utbildning, awareness programs etc. Och om detta har påverkat ISA, ISP eller attityder. 16. Vad har din arbetsgivare gjort för att du ska följa organisationens policys? (Öppen fråga) Motivering: Se om arbetsgivaren gjort något för att förankra policyerna, vilket teorin säger att de ofta inte gör. Se om de använt utbildning, awareness programs etc. Och om detta har påverkat ISA, ISP eller attityder. 17. Om du bryter mot en informationssäkerhetspolicy, vad kan det få för konsekvenser? (Öppen fråga) Motivering: Testa beteende och attityder. 15

22 3. Metod Detta kapitel beskriver hur man valt att utföra undersökningen, med besluten grundade i litteratur kring metoder om enkäter och intervjuer. Undersökningsformen motiveras, liksom valet av fallföretag och deltagare i underökningen. Även utformningen av själva undersökningen beskrivs och motiveras, precis som tillvägagångsättet i analysen längre fram i uppsatsen. Det finns också ett kapitel om undersökningens kvalitet för att försäkra läsaren om att undersökningen gått rätt till och att resultaten är välgrundade och trovärdiga. 3.1 Metodval Inledningsvis gjordes en litteraturgenomgång för att identifiera artiklar inom ämnet informationssäkerhetspolicyer och anställdas medvetenhet och efterlevnad till dessa, för att skapa en bild om befintlig forskning. Detta gjordes med hjälp av artikeldatabasen Ebscohost och Google Scholar och utifrån sökningen lyftes de mest relevanta och framstående skrifterna fram. Det finns två övergripande metodansatser att välja mellan för insamling av data vid en forskningsundersökning; kvalitativ eller kvantitativ (Jacobsen, 2002). För att på bästa sätt uppfylla uppsatsens syfte och besvara frågeställningen har en kvalitativ undersökning genomförts. Jacobsen säger att en kvalitativ metod passar bäst vid undersökningar av sociala fenomen, vilket lämpar sig för uppsatsen då den mänskliga faktorn inom arbete med informationssäkerhetspolicy är just ett socialt fenomen. Beslutet att genomföra en kvalitativ datainsamling gör det möjligt för uppsatsen att tolka och förstå empirin och på så sätt skapa större klarhet kring varför slutanvändare av informationssystem och andra tekniska hjälpmedel i organisationer, inom branscherna hospitality och detaljhandel, väljer att följa, alternativt inte följa ITpolicyer för informationssäkerhet. Att beakta är att med en kvantitativ ansats hade ett större svarsunderlag förmodligen kunnat samlas in och en mer generell bild hade kunnat skapas kring ämnet. Dock hade inte en kvantitativ ansats gett samma djup i undersökningen och då uppsatsen ämnar skapa förståelse och tolka insamlade empirin valdes den kvalitativa metoden. En fallstudie har genomförts där fyra företag inom två olika branscher undersöktes. Fallstudien passar när ett visst beteende på en viss plats (Jacobsen, 2002) ska undersökas, i detta fall organisationer inom två olika branscher. Enkät valdes som form för insamling av empirin. Enkäten utformades med öppna frågor som besvarades med deltagarens egna ord. Fördelarna med detta är att deltagaren inte styrs eller begränsas av bestämda svar och att svaret blir utförligt och nyanserat (Andersson, 1994), vilket passar den här uppsatsen bra då det är kunskap och attityder som undersöks. Liknande tar Bryman & Bell (2013) upp att öppna frågor inte leder in respondenternas tankar i någon specifik riktning, utan de får själva formulera sina svar och på så sätt visas deras kunskapsnivå vilket är väsentligt för uppsatsen. Genom att använda enkäter eliminerades effekter som intervjuaren kan ha på den intervjuade. Då en intervjuare är närvarande kan det finnas en viss benägenhet hos den intervjuade att försöka ge en positiv bild av sig själv, framförallt när det gäller frågor som berör en social önskvärdhet, vilket i sin tur kan påverka den intervjuades 16

23 svar (Bryman & Bell, 2013). Vidare säger Bryman & Bell (2013) att det finns en tendens hos de intervjuade att inte beskriva sådant som kan verka ängslande. Då frågor kring de anställdas medvetenhet och efterlevnad gällande organisationens informations-säkerhetspolicy förekom, vilket kan vara ett känsligt ämne som berör social önskvärdhet, var enkäter ett bra val för denna uppsats. Eftersom antalet deltagare inte var jättehögt blev det ändå ett greppbart resultat som kunde användas till analys och diskussion. Genom att göra undersökningen i enkätform försvann dock möjligheten till att fördjupa sig med följdfrågor och vidareutvecklingar, men detta ansågs inte vara lika viktigt som att kunna garantera anonymitet. Någon undantagsfråga hade alternativ för att dubbelkolla hur personens medvetande och beteende är sammankopplade (se fråga 11). Eftersom uppsatsen har för avsikt att undersöka anställdas medvetenhet om policys och hur de känner inför användandet av dessa så hade inte en kvantitativ undersökning med frågor och svar i siffror passat lika bra. Möjligheten att kunna dra paralleller och se samband mellan en specifik deltagares svar hade inte heller varit möjlig i samma utsträckning. 3.2 Val av fallföretag Fyra företag i två branscher valdes ut. Den första branschens två företag var verksamma inom hospitality; Ett större vandrarhem med ca 45 rum och ett hotell med 221 rum. Båda företagen jobbar med informationssystem där vissa kunduppgifter behandlas och har även hantering av kreditkort. Den andra branschen är detaljhandeln, där en återförsäljare av möbler, accessoarer och annan inredning och en återförsäljare av nya och begagnade böcker valdes ut. Båda företagen behandlar personinformation. Att beakta är att ett företag i var bransch har en hög omsättning och många anställda medan ett i varje bransch är en betydligt mindre verksamhet än det större. Företag Typ Anställda (hela organisationen2014) Ort (för undersökningen) Hospitality 1 (H1) Hospitality 2 (H2) Detaljhandel 1 (D1) Hotell Ca 3500 Malmö Vandrarhem Ca 225 Malmö Inredning Ca 250 Stockholm Detaljhandel 2 Begagnad studentlitteratur > 10 (med timmanställda ca 60) Lund (D2) Tabell 2: Företag 17

24 3.3 Urval Först valdes två företag ut eftersom författarna genom sina egna deltidsjobb hade lätt tillgång till dessa och att de hade tillräckligt många arbetare för att få ett bra svarsunderlag från enkäten. Dessa två företag råkade vara inom hospitality och detaljhandeln. Med det som första steg resonerades det att de fungerar bra därför att de är vanligt förekommande branscher och arbetssättet med kund och i informationssystem återfinns på många arbetsplatser. För att få större bredd på undersökningen valdes ytterligare ett företag ut inom var bransch, även dessa genom författarnas egna deltidsjobb eller kontakter, som också mötte kriteriet att de hade tillräckligt många anställda som använde informationssystem. Då uppsatsen ämnar undersöka i vilken omfattning IT-policyer efterlevs avseende anställdas informationssäkerhetmedvetande inom en organisation är enkäterna riktade till de anställda inom företaget som använder informationssystemen, det mest lämpade för att få in relevant empiri. 3.4 Utformning av enkätfrågor Efter att ha sammanställt teorin i en tabell mynnade vissa teorier ut i frågor. Med andra ord var frågorna förankrade i teorin. För att utforma enkätfrågorna utgick författarna främst ifrån Bengt-Erik Anderssons bok Som man frågar får man svar - en introduktion i intervju- och enkätteknik (1994). Nedan beskrivs den metodteori som använts vid utformandet av enkäten till uppsatsen. Det är viktigt att i en enkät beskriva syftet med den och varför den vänder sig just till den deltagaren som läser det. I den inledande instruktionen är det också bra att beskriva vem som ligger bakom och vad informationen ska användas till. Det bör också informeras om att enkäten är anonym om detta kan utlovas, men det bör inte utlovas skydd om detta inte kan hållas. Det är också viktigt att skriva tydligt hur frågorna ska besvaras. Eftersom informationssäkerhetspolicy inte är en term som används i dagligt tal fanns det i början av enkäten en kort förklaring till vad det handlar om, för att undvika missförstånd eller bristfälliga svar på grund av att deltagarna inte känner till ämnet. Dock fick deltagarna inte veta vilket ämne det handlade om innan de tog del av undersökningen Vidare skriver Andersson att instruktionerna inför varje fråga måste vara enkla och simpla att tyda, eftersom deltagaren annars kan tröttna eller missuppfatta på grund av ovana att läsa skriftliga instruktioner. Själva längden på enkäten styr också utrymmet för hur långa instruktionerna till varje fråga kan vara eftersom en för lång enkät kan verka avskräckande. Genom att använda en tratt-teknik, skriver Andersson, kan man börja med generella frågor för att sedan gå närmare och närmare de frågor som egentligen är av intresse, något som även den här undersökningens frågor följer. På så sätt blir det en mjukare start och deltagaren i enkäten slängs inte in i att plötsligt besvara personliga frågor på en gång. Enligt tratt-tekniken ska inte heller ledande frågor ställas, som till exempel Har ditt företag varit dåliga på att förmedla policys?. Det gäller även att inte vara ledande i instruktionerna. 18